| 다른 이름 |
WORM_MIMAIL.E, W32/Mimail.e@MM |
|
| 감염시 위험도 |
3등급(위해)  |
|
| 확산 위험도 |
2등급 |
현재 확산도 |
3등급 
|
|
| 종류 |
웜 |
감염 형태 |
실행파일 |
|
| 감염 OS |
윈도우 |
감염 경로 |
메일 |
|
| 최초발견일 |
2003-11-01 |
국내발견일 |
2003-11-02 |
|
| 특정활동일 |
특정일 활동 없음 |
제작국 |
불분명 |
|
| 진단 가능 엔진 |
2003.11.02.00 |
치료 가능 엔진 |
2003.11.02.00 |
|
| |
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다. |
|
| 증상 |
- 메일을 발송한다.
- 특정 사이트를 공격한다.
|
|
| 내용 |
Win32/Mimail.worm.10784는 Win32/Mimail.worm.12832의 변형으로 메일에 첨부된 READNOW.ZIP 파일을 통해 전파되는
웜으로 특정 사이트를 공격하는 증상이 있다. Win32/Mimail.worm.12832에서 메일 형태와 공격하는 사이트가 바뀌었다.
외국시각으로 2003년 11월 1일 최초 발견되었으며, 안철수연구소는 한국시각으로 2003년 11월 2일 오후에 최초의 사용자
감염 보고를 받았다.
- 전파 방식
다음과 같은 메일 형태로
전파된다. 보낸이의 메일 주소는 받는 사람의 도메인의 John 계정에서 보낸 것 처럼 위장한다. 예를들어 받는이의 메일 주소가
v3sos@ahnlab.com라면 보내는이는 John@ahnlab.com이 되어 마치 같은 도메인에서 온 메일로 착각하게 한다.
# 보낸 이
- John@<임의의값> ( 예 : John@ahnlab.com, John@blank.com 등 )
# 제목
- don't be late! <임의의 문자열>
# 본문
Will meet
tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
# 첨부파일
-
READNOW.ZIP(10,912 바이트)
: READNOW.DOC.SCR(10,784 바이트)을 포함하며 이 파일이 실제 웜 파일이다.
- 실행 후 증상
메일에 첨부된 ZIP 파일의 압축을 푼 후 웜
파일을 실행하면 감염된다.
윈도우 폴더(일반적으로 C:\Windows, C:\WinNT)에 웜 자신을 cnfrm.exe 파일로
복사한다.
이외 윈도우 폴더에 다음 파일이 생성된다.
- eml.tmp : 컴퓨터에서 수집한 메일주소(V3 제품군에서
진단하지 않음)
- zip.tmp : READNOW.ZIP 파일 (11 킬로바이트)
- exe.tmp :
READNOW.DOC.SCR 파일(11 킬로바이트)
윈도우 시작시 자동 실행을 위해 다른 레지스트리에 Cnfrm32 키를 추가한다.
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
의 Cnfrm32 키로 웜 파일 등록 (예:C:\WINNT\cnfrm.exe)
다음 확장자를 제외한 모든 파일에서 메일
주소를 수집해 웜이 첨부된 메일을 발송한다.
- com
- wav
- cab
- pdf
- rar
- zip
- tif
- psd
- ocx
- vxd
- mp3
- mpg
- avi
- dll
- exe
- gif
- jpg
- bmp
-
특징적 증상
이 웜은 특정 사이트에 대량의 데이터를 보낸다. 만약 감염된 컴퓨터 수가 많을 경우 대량의 공격이 발생해
해당 사이트 서버가 다운 될 수 있다.
2003년 11월 2일 현재 Win32/Mimail.worm.10784는 조금씩 수정된
3가지 변형이 발견되었으며 변형에 따라 공격하는 사이트 주소가 다르다. 현재 국내에 보고된 변형은 다음 인터넷 뱅킹 사이트를 공격한다.
- fetchard.biz
- fethard-finance.com
이외 다음 사이트를 공격하는 변형도
보고되었다.
- spews.org
- spamhaus.org
- spamcop.net
* 이 정보는
2003년 11월 2일 15시에 최초 작성되었으며, 2003년 11월 2일 16시 28분에 최초 수정되었다.
|
|
| 치료방법 |
- 최신엔진의 V3로 진단/삭제 가능한다.
- 위와 같은 형태의 메일을 받을 경우,
첨부파일을 실행하지 말고 메일을 삭제한다. |
|
| 참고사항 |
* 변형별 MD5 값
# 웜 실행 파일(cnfrm.exe)
-
a0afb2c95a791d1e6f130d1a4c940652
- 335bfd2daaf040df90f34bb6bd242003
-
99a0890b87a501e33cb4a26a3d0c2e08
| |
